Эксперты Лаборатории Касперского обнаружили новый инструмент, который позволяет злоумышленникам получать скрытый доступ к корпоративной почте Gmail. Речь идет о программе Umbrij, найденной при изучении активности кибергруппы ToddyCat. Она нацелена на устройства с Windows и помогает атакующим работать с данными Google так, чтобы пользователь мог долго не замечать посторонний доступ.
Главная опасность Umbrij состоит в том, что инструмент запрашивает широкий доступ к сервисам Google через API. API, или программный интерфейс приложения, позволяет разным программам обмениваться данными и выполнять действия внутри сервиса. В нормальной ситуации он нужен для интеграций и автоматизации, но в руках злоумышленников такой доступ превращается в способ читать почту, изучать контакты и получать данные из облачного хранилища.
По данным специалистов, Umbrij может запрашивать разрешения на доступ к Gmail, Google Drive и контактам. Если пользователь или администратор ошибочно одобрит такие права, атакующие смогут работать с корпоративной информацией без классического входа в аккаунт через пароль. Это делает угрозу особенно опасной, потому что смена пароля сама по себе может не закрыть уже выданные разрешения.
Подобная схема отличается от обычной кражи учетных данных. В привычном сценарии злоумышленник пытается узнать логин и пароль, перехватить код подтверждения или обманом заставить человека войти на поддельную страницу. В случае с Umbrij акцент делается на разрешениях, которые выдает сам пользователь или корпоративная система. После этого доступ может сохраняться, пока его специально не отзовут.
Для компаний такая угроза особенно чувствительна. Корпоративная почта часто содержит договоры, счета, переписки с клиентами, внутренние обсуждения, данные о проектах, кадровые документы и ссылки на другие сервисы. Если злоумышленники получают к ней скрытый доступ, они могут не только читать сообщения, но и использовать найденную информацию для дальнейших атак на сотрудников, партнеров и клиентов.
ToddyCat уже известна исследователям как кибергруппа, которая интересуется организациями в разных странах и использует сложные инструменты для скрытого присутствия в инфраструктуре. Обнаружение Umbrij показывает, что атакующие продолжают искать способы обходить привычные механизмы защиты и все чаще используют легальные функции популярных сервисов против самих пользователей.
Особое внимание в этой истории стоит обратить на разрешения сторонних приложений. Многие пользователи привыкли быстро нажимать кнопку согласия, когда сервис просит доступ к почте, файлам или контактам. В личной переписке это уже рискованно, а в корпоративной среде может привести к утечке значительного объема конфиденциальных данных. Поэтому компаниям важно регулярно проверять, каким приложениям выданы права в аккаунтах Google Workspace.
Защита от таких атак не сводится только к антивирусу или сложному паролю. Администраторам нужно контролировать OAuth-разрешения, ограничивать доступ сторонних приложений, включать многофакторную аутентификацию, отслеживать подозрительные подключения и проверять журналы активности. OAuth — это механизм авторизации, при котором приложение получает доступ к данным без передачи ему пароля, поэтому именно его настройки становятся важной частью безопасности.
Пользователям также стоит быть осторожнее с запросами на доступ к Google-сервисам. Если неизвестная программа просит полный доступ к почте, диску и контактам, это должно вызывать подозрение. Даже если окно авторизации выглядит привычно, важно понимать, кому именно выдаются права и зачем они нужны. В корпоративной среде такие разрешения лучше согласовывать с ИТ-отделом.
История с Umbrij показывает, что атаки на почту становятся более скрытными. Злоумышленникам уже не всегда нужно прямо ломать пароль или заражать почтовый сервер. Иногда достаточно добиться выдачи нужных разрешений и использовать официальные интерфейсы сервиса. Для компаний это означает, что безопасность Gmail и Google Workspace должна включать не только защиту входа, но и постоянный контроль того, какие приложения имеют доступ к данным.